Kritieke patches uitgegeven voor Cisco Expressway Series, TelePresence VCS-producten

Cisco Nachrichten

Cisco heeft deze week patches uitgebracht om een ​​nieuwe reeks kritieke beveiligingsproblemen aan te pakken die de Expressway Series en Cisco TelePresence Video Communication Server (VCS) treffen en die door een aanvaller kunnen worden misbruikt om verhoogde bevoegdheden te krijgen en willekeurige code uit te voeren.

De twee gebreken – gevolgd als CVE-2022-20754 en CVE-2022-20755 (CVSS-scores: 9,0) – hebben betrekking op het willekeurig wegschrijven van bestanden en een fout in de opdrachtinjectie in de API en webgebaseerde beheerinterfaces van de twee producten die ernstige gevolgen kunnen hebben voor de getroffen systemen.

Het bedrijf zei dat beide problemen voortkomen uit onvoldoende validatie van invoer van door de gebruiker geleverde commando-argumenten, een zwakte die door een geverifieerde, externe aanvaller kan worden gebruikt om directory-traversal-aanvallen uit te voeren, willekeurige bestanden te overschrijven en kwaadaardige code uit te voeren op het onderliggende besturingssysteem. als de rootgebruiker.

„Deze kwetsbaarheden werden gevonden tijdens interne beveiligingstests door Jason Crowder van de Cisco Advanced Security Initiatives Group (ASIG)“, noteerde het bedrijf in zijn advies dat woensdag werd gepubliceerd.

Ook aangepakt door Cisco zijn drie andere gebreken in StarOS, Cisco Identity Services Engine RADIUS Service en Cisco Ultra Cloud Core – Subscriber Microservices Infrastructure-software –

  • CVE-2022-20665 (CVSS-score: 6.0) – Een kwetsbaarheid voor opdrachtinjectie in Cisco StarOS waardoor een aanvaller met beheerdersreferenties willekeurige code kan uitvoeren met rootrechten
  • CVE-2022-20756 (CVSS-score: 8,6) – Een denial-of-service (DoS)-kwetsbaarheid die de RADIUS-functie van Cisco Identity Services Engine (ISE)
  • CVE-2022-20762 (CVSS-score: 7,8) – Een privilege-escalatiefout in de Common Execution Environment (CEE) ConfD CLI van Cisco Ultra Cloud Core – Subscriber Microservices Infrastructure (SMI)-software waarmee een geverifieerde, lokale aanvaller kan escaleren naar rootrechten

Cisco merkte ook op dat het geen bewijs vond van kwaadwillig misbruik van de kwetsbaarheden, en voegde eraan toe dat ze werden gevonden tijdens interne beveiligingstests of tijdens de oplossing van een ondersteuningszaak van het Cisco Technical Assistance Center (TAC).

Maar desondanks worden klanten dringend verzocht om zo snel mogelijk te updaten naar de nieuwste versies om mogelijke in-the-wild-aanvallen te verminderen.

David
Rate author
Hackarizona